Het komt steeds vaker voor dat spoorbedrijven onbedoeld slachtoffer zijn van grotere cyberaanvallen. Het is daarom belangrijk dat de railsector maatregelen neemt om zijn systemen tegen aanvallen van buitenaf te beveiligen.
Information Security Officer Joseph Mager van NS en Consultant Rail IT & Data Services Michel van den Braak van Ricardo Rail blikten terug naar cyberaanvallen waardoor de spoorsector in het verleden geraakt zijn. Ook gaven ze uitleg over hoe de branche zich met risico-analyses hiertegen kan beschermen.
WannaCry-virus
Tijdens het webinar werd een video getoond over de aanval van het WannaCry-virus in 2017, waardoor tienduizenden computers van bedrijven werden aangevallen. Slachtoffers daarbij waren onder meer de Rotterdamse haven en spoorwegonderneming Deutsche Bahn. Bij laatstgenoemde functioneerden reisinformatieschermen en de online ticketverkoop niet meer.
De hackers wilden hun aanval gebruiken om het betalen van losgeld af te dwingen. Bij het WannaCry-virus ging het om software, waarmee data op computers werd gegijzeld, versleuteld en pas vrijgegeven op het moment dat er losgeld zou worden betaald. Op de reisinformatieschermen van DB stond een tekst waarin werd gevraagd om 300 Dollar aan bitcoins te betalen. Als dat niet zou gebeuren, zou belangrijke data worden verwijderd.
Michel van den Braak, consultant Rail IT & Data Services bij Ricardo Rail: “Eens in de zoveel tijd woedt er weer een virus over de wereld. Het WannCry-virus, heeft heel veel bedrijven getroffen. Het heeft de Rotterdamse haven voor een week platgelegd en ook de Deutsche Bahn heeft een hele lange tijd niet kunnen opereren. Dit zal zeker niet de laatste keer zijn. Je zult vaker zien dat spoorbedrijven een soort van collateral damage zijn van dit soort aanvallen. Het WannaCry-virus was niet eens bestemd voor de Deutsche Bahn, maar was gericht tegen Oekraïne”, legt Van den Braak uit.
Cyberaanval
Een ander voorbeeld van een cyberaanval waarbij een spoorbedrijf slachtoffer werd, is de aanval enkele maanden geleden op treinfabrikant Stadler. Daarbij eisten de daders losgeld en dreigen vertrouwelijke gegevens van het bedrijf en klanten openbaar te maken.
Ricardo Rail heeft naar aanleiding van de aanval op Stadler een risico-analyse gedaan voor een klant op treinen van deze fabrikant. “Enkele maanden geleden kwam het nieuwsbericht vanuit Stadler Rail dat ze gehackt waren. Daarbij werd gedreigd dat privédata van hun klanten openbaar gemaakt zou worden. We hadden de risico-analyse net afgerond, waardoor we wisten wat dit betekende voor de klant en waar de risico’s zaten en ook welke maatregelen we konden treffen om te zorgen dat een hack vanuit Stadler niet naar de trein zou kunnen komen. Het was heel nuttig geweest dat we die risico-analyse hadden uitgevoerd.”
Treinmaterieel beschermen
NS is ook een klant van Stadler, maar de aanval heeft volgens Joseph Mager, Information Security Officer bij NS, geen effect gehad op de gegevens van de spoorvervoerder. “Er zijn maatregelen getroffen die een scheiding aanbrengen tussen NS en onze leveranciers. Met behulp van een risico-analyse weet je als vervoerder hoe de verbindingen zijn en hoe een hack binnen zou kunnen komen. Als je dat vooraf in kaart hebt gebracht dan weet je sneller wat de gevolgen daarvan kunnen zijn en daarmee kun je ook sneller reageren.”
Om te zorgen dat treinmaterieel beschermd wordt, kunnen er volgens Van den Braak verschillende maatregelen worden genomen. “Je kunt bijvoorbeeld de remote diagnose uitzetten. Straks onder ERTMS kunnen we bijvoorbeeld zeggen dat we van Level 2 terug gaan naar Level 1. Dat soort scenario’s moet je van tevoren allemaal bedacht hebben om hier snel op te reageren.”
Digitale systemen
De experts benadrukten tijdens het webinar het belang van cyberveiligheid. Mager: “Je kunt altijd schade ondervinden van aanvallen die zich niet per se op jouw organisatie hebben gericht, maar je wel raken. Maar daarnaast zie je ook dat cyberveiligheid steeds belangrijk wordt omdat de spoorwereld zich steeds verder digitaliseert. Een voorbeeld daarvan is het ERTMS-systeem wat ingevoerd gaat worden. Daarbij wordt in wezen de signalering langs de baan in de cabine gebracht van de machinist. En daarmee wordt het systeem wat nu nog fysiek is digitaal gemaakt. En daarmee wordt het belang van digitale systemen maar ook van cyberveiligheid steeds groter.
Van den Braak: “De trein krijgt steeds meer verbindingen, vooral ook digitaal. We hebben ERTMS en zien ook steeds meer remote diagnose-systemen. Die laatste zorgen ervoor dat leveranciers op afstand mee kunnen kijken naar storingen. Er worden daarbij allemaal diagnostische data opgestuurd naar de leverancier. De trein krijgt steeds meer digitale verbindingen en dat brengt risico’s met zich mee.” Mager vult aan: “We willen de kansen benutten van ERTMS en diagnose-systemen, maar tegelijkertijd de risico’s minimaliseren.”
Van den Braak: “Belangrijk daarbij is dat er wordt gekeken naar de toekomst. De veiligheid van de verbindingen tussen de wal en de trein berusten op encryptie. Wat vandaag veilig is, hoeft morgen niet meer veilig te zijn. We moeten kijken hoe we zorgen dat wat nu veilig is over tien jaar ook nog veilig is. Die wereld moet mee veranderen.”
Wet Beveiliging Netwerk- en Informatiesystemen
Ook gingen de experts in op de Wet Beveiliging Netwerk- en Informatiesystemen (Wbni). In maart van dit jaar is vastgesteld dat de spoorsector een vitale sector is. Dat betekent dat bedrijven die actief zijn in deze sector op termijn moeten voldoen aan de Wbni. Van den Braak: “Deze wet kent grofweg twee delen: een zorgplicht en een meldplicht. Enerzijds moet je als vitale aanbieder van een infrastructuur zorgen dat jij jouw diensten kan continueren, dus dat je niet wordt gehackt. Anderzijds mocht je wel met een incident te maken hebben, dan ben je verplicht om dat te melden.”
Joseph Mager is vanuit zijn functie als Information Security Officer betrokken geweest bij de vitaalverklaring van het spoor. “We hebben als sector bekeken wat er gebeurt of misgaat als de sector stilvalt. Daar heb je verschillende categorieën voor en daar is uitgekomen dat de spoorsector als vitaal B is bestempeld. Het is met name belangrijk dat we nog beter naar de continuïteit van onze dienstverlening gaan kijken.”
“We kijken naar de wet die in de toekomst van toepassing is op de spoorsector, de totstandkoming van deze wet en die daaronder vallen. Het is een beetje te vergelijken met de AVG (Algemene Verordening Gegevensbescherming, red.) die iedereen kent. Ook daar hebben we een programma gehad die ons hierop heeft voorbereid. Met deze wet doen we hetzelfde.”
Mager vertelt dat het besluit Wet beveiliging netwerk- en informatiesystemen in voorbereiding is. “Dat besluit zal naar verwachting eind dit jaar, begin volgend jaar in de Tweede Kamer worden behandeld. En vervolgens moet het ministerie nog bepalen welke organisaties en welke diensten onder de Wbmi gaan vallen. Dat zal naar verwachting medio volgend jaar plaatsvinden. En dan krijg je nog de invulling van de zorgplicht en welke maatregelen daarvoor nodig zijn.”
Zorgplicht
Ricardo Rail helpt spoorbedrijven om hun risicobeheersing op orde te brengen. Van den Braak: “Bij de invulling van de zorgplicht is het belangrijk dat bedrijven hun risico’s op orde hebben. Voor de risicobeheersing gebruiken wij de bestaande normen. Een bekende norm is de 62443 voor de industrie. Daar komt nog een nieuwe norm bij de 55701. Die schrijft voor hoe je de 62443 moet implementeren in de spoorsector. Daar staan ook allerlei maatregelen in die je moet treffen.”
“In het kort komt het er op neer dat bedrijven moeten zorgen dat hun risico’s op orde zijn, dat ze incidenten voorkomen en de impact minimaliseren. Als ze hier niet aan voldoen dan kunnen er boetes worden opgelegd. Die kunnen zelfs oplopen tot vijf miljoen euro.” Aspecten waarbij risicobeheersing belangrijk zijn, zijn naast ERTMS en remote diagnose ook wifi in de treinen en systemen waarbij data wordt uitgewisseld om onderhoud te optimaliseren.